La Commission publie un projet de décision d’adéquation sur la circulation sécurisée de données entre l’UE et les États-Unis

La Commission européenne a lancé mardi (13 décembre) le processus formel d’adoption d’une décision d’adéquation concernant le cadre transatlantique de protection des données personnelles (EU-US Data Privacy Framework). Cette troisième tentative visant à garantir les transferts transatlantiques de données risque toutefois de se heurter à d’autres obstacles juridiques.

Le projet de décision fait suite à la signature, en octobre, du décret du président américain Joe Biden visant à introduire des garanties pour les données personnelles des résidents de l’UE. Il s’agit notamment de limiter l’accès des agences de renseignement américaines et d’introduire un mécanisme de recours indépendant.

L’accès disproportionné des services de sécurité américains aux données européennes en masse, révélé pour la première fois par Edward Snowden en 2013, a constitué l’une des raisons essentielles pour lesquelles le transfert de données personnelles outre-Atlantique a été jugé illégal par la Cour de justice de l’UE (CJUE) à deux reprises dans les arrêts Schrems.

La CJUE a notamment estimé que la juridiction américaine ne fournissait pas une protection adéquate des données personnelles. Parallèlement, le système juridique américain ne permettait pas de contester en justice des actes répréhensibles en matière de traitement des données, alors que le recours juridique est un principe fondamental de l’UE.

Ainsi, depuis l’arrêt Schrems II en juillet 2020, la Commission européenne et l’administration américaine se sont efforcées de créer un nouveau cadre juridique qui permettrait d’éviter l’incertitude juridique pour les centaines d’entreprises opérant dans le cadre du commerce transatlantique, dont la valeur se chiffre en billions.

« Ces derniers mois, nous avons évalué le cadre juridique américain fourni par le décret en matière de protection des données personnelles. Nous sommes maintenant confiants pour pouvoir passer à l’étape suivante de la procédure d’adoption », a déclaré le commissaire européen à la Justice, Didier Reynders, dans un communiqué.

Processus d’adéquation des données

La Commission estime que le nouveau cadre juridique basé sur le décret présidentiel est comparable aux normes européennes en matière de protection des données. Cela signifie que les données personnelles des résidents de l’UE peuvent être transférées en toute sécurité et légalement de l’autre côté de l’Atlantique.

La publication du projet de décision ne constitue que la première étape formelle du processus visant à approuver une juridiction étrangère comme ayant un niveau adéquat de protection des données. Le Comité européen de protection des données (Data Protection Board), qui regroupe toutes les autorités de protection des données de l’UE, devra alors émettre un avis.

La décision devra ensuite être approuvée par une commission formée de représentants nationaux des États membres avant d’être officiellement adoptée, ce que la Commission européenne espère faire d’ici l’été 2023.

Parallèlement, le Parlement européen et le Conseil pourraient contester la décision s’ils estiment que la Commission a outrepassé ses pouvoirs.

Si elle est confirmée, la décision sur l’adéquation des données fera l’objet d’un examen régulier afin de s’assurer que les éléments pertinents du cadre juridique américain ont été pleinement mis en œuvre et fonctionnent efficacement dans la pratique. Les examens commenceront un an après l’adoption de la décision.

Défis juridiques

Le décret a été précédé d’un accord « de principe » annoncé par le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen en mars. Depuis lors, les deux exécutifs ont tenté de mettre au point un arrangement technique acceptable devant les tribunaux.

« Comme le projet de décision est basé sur le décret présidentiel connu, je ne vois pas comment cela pourrait survivre à une contestation devant la Cour de justice. Il semble que la Commission européenne ne fait qu’émettre des décisions similaires, encore et encore, ce qui constitue une violation flagrante de nos droits fondamentaux », a déclaré Max Schrems, l’avocat autrichien qui a donné son nom aux deux arrêts de la Cour.

Au moment de la publication du décret, M. Schrems a souligné plusieurs points critiques, à commencer par le fait que l’administration américaine a accepté de limiter les activités de surveillance de ses services de renseignement à ce qui est « nécessaire » et « proportionné », deux concepts fondamentaux du droit européen.

Toutefois, l’activiste autrichien a fait valoir que rien ne permet de penser que la surveillance de masse des États-Unis changera dans la pratique, étant donné que les systèmes et pratiques juridiques américains et européens divergent considérablement dans leur définition de la nécessité et de la proportionnalité.

En ce qui concerne les recours juridiques, M. Schrems s’est également demandé si la Cour de révision de la protection des données (Data Protection Review Court) établie par le décret est un véritable tribunal dans la mesure où elle est rattachée à l’exécutif américain. Il estime que cet arrangement est une version améliorée de la proposition de Médiateur précédemment rejeté par la CJUE.

Essayer avant de critiquer

« Je suis sûr que nous aurons une nouvelle discussion devant la Cour de justice. Le traitement des données personnelles fait partie du modèle économique de nombreuses grandes entreprises technologiques. Mais saisir la Cour de justice est peut-être dans le modèle économique de M. Schrems », a indiqué M. Reynders à EURACTIV la semaine dernière.

Le commissaire européen a souligné qu’il était convaincu que le nouvel arrangement juridique était véritablement robuste et a invité les plus sceptiques à tester le mécanisme de recours en contestant certaines décisions des agences de renseignement américaines avant d’essayer de faire tomber l’ensemble du système.

[Édité par Anne-Sophie Gayet]